Sicherheit im Smart Grid - DFN-CERT

Weitere Magazine

Empfehlungen

Info

A-18 18. Workshop „Sicherheit in vernetzten Systemen“ 4.5 Gerätesteuerung durch Preismanipulation Starke Lastschwankungen werden auch künftig problematisch sein. 13 Neben der direkten Möglichkeit, Verbraucher zu aktivieren, ergibt sich durch Tarifmanipulationen auch ein indirekter Vektor. Dabei ist es zweitrangig, ob der tatsächliche Strompreis an der Börse manipuliert wird [19] oder der Wert, der von den Geräten als Basis herangezogen wird – sei es durch Manipulation der Webseite, von der der Preis abgerufen wird, oder durch einen manin-the-middle-Angriff [20] auf die Übertragung (siehe 4.3). Im Ergebnis würde ein Tarifsprung dazu führen, dass sehr viele Verbraucher gleichzeitig eingeschaltet würden. 5 Gegenmaßnahmen Die zu erwartenden Herausforderungen liegen an den gleichen Stellen wie bei sonstigen IT- Systemen. Durch die beschriebenen besonderen Randbedingungen im Smart Grid sollten die folgenden Prinzipien besondere Beachtung finden: entweder weil das Problem unterschätzt werden könnte oder weil die Auswirkungen im Smart Grid besonders weit reichend wären. Die Gegenmaßnahmen lassen sich in 3 Bereiche einteilen: - Designprinzipien - IT-Sicherheits-Handwerk - Maßnahmen gegen konkrete Angriffe 5.1 Designprinzipien 5.1.1 Folgeschäden begrenzen („fail securely“) Der Ausfall einer Sicherheitseinrichtung sollte grundsätzlich so gut wie möglich vermieden werden, indem jede Sicherheitseinrichtung mit der maximal möglichen Robustheit versehen wird. Der Ausfall einer Einrichtung muss als Option jedoch mit berücksichtigt werden – und Designentscheidungen sollten so getroffen werden, dass die Auswirkungen eines Ausfalls möglichst gering sind [21]. Als Beispiel soll der Ausfall der Zähleinrichtung im Smart Meter betrachtet werden. Was soll passieren, wenn die Zähleinrichtung ausfällt? - Sollte die Stromzufuhr unterbrochen werden oder nicht? - Soll ein Alarm ausgelöst werden? Wer ist ggf. zu alarmieren? Natürlich sollte nach Möglichkeit verhindert werden, dass eine Zähleinrichtung überhaupt ausfällt; wenn der Fall dann aber doch eintritt, sollte dieses Ereignis (sofern möglich) gemeldet werden. 5.1.2 Entkopplung kritischer Infrastrukturen von anderen Die kritischen Systeme und Netze im Smart Grid sollten möglichst von den nicht-kritischen entkoppelt werden. Wenn man bedenkt, dass das durch den Virus „Blaster“ im Sommer 2003 13 Eine sehr anschauliche Darstellung der Auswirkung von Lastsprüngen findet sich im Video [1]. Wie wirkt sich das gleichzeitige Einschalten von 1,5 Mio. Wasserkocher auf die Netzfrequenz aus?
Müller: Sicherheit im Smart Grid A-19 verstopfte Kommunikationsnetz den Abgleich über die aktuelle Auslastung der Kraftwerke und Netze verhindert und in der Folge den plötzlichen Zusammenbruch weiter Teile der Energienetze in den USA geführt hat [22], wird klar, dass eine tatsächliche Entkopplung schwieriger ist, als es auf den ersten Blick erscheint. 14 Das Beispiel zeigt, dass ein erster wichtiger Schritt hierzu in der Identifikation der tatsächlichen kritischen Systeme und Netze besteht. 5.1.3 Angriffsfläche minimieren Die Smart Meter sollten keine Unterbrecherfunktion beinhalten. Falls sie eine solche Einheit haben, sollte diese nicht aus der Ferne auslösbar sein, sondern einzig in der Art einer Sicherung arbeiten und bei der Überschreitung eines Schwellwertes auslösen. Das mit einem von Ferne aktivierbaren Unterbrecher einher gehende Risiko überwiegt den Nutzen bei Weitem. Das US-amerikanische Verteidigungsministerium untersucht, ob über die Etablierung von Mikro-Grids, also kleinen, autarken Energieversorgungszellen bestehend aus Generatoren (Wind, Sonne) und Verbrauchern die Resistenz des Gesamtnetzes gegen großflächige Angriffe erhöhen können [23]. 5.1.4 Nicht auf „juristische Sicherungen“ vertrauen Wo möglich sollten technische Schutzlösungen zur Verhinderung der dargestellten Angriffsszenarien gewählt werden. „Juristische Sicherungen“ (wie § 248c StGB – Entziehung elektrischer Energie und § 303 – Sachbeschädigung) haben nur eine begrenzte Wirkung. Eine schwer zu entdeckende und vielleicht einfach umzusetzende Manipulation am Smart Meter sollte nicht einzig durch eine Plombe am Gerät und eine Strafandrohung in den AGB abgesichert sein. Essenziell ist hierbei die Erkennung von Manipulationsversuchen auf verschiedenen Ebenen. Das Lastenheft des EDL sieht vor, dass äußere magnetische Einflüsse sowie optional das Öffnen oder Manipulieren des Gehäuses lokal angezeigt und im Logbuch dauerhaft festgehalten wird. Falls der Zähler durch starke Magnetfelder gestört werden kann, ist auch hierfür ein Sensor vorzusehen. Darüber hinaus würde ein optischer Sensor das Unerkannte Öffnen des Zählers erschweren [24]. Nach Möglichkeit sollten weitere technische Maßnahmen z. B. zum Schutz vor Software-Manipulationen ergänzt werden. Um das Ergebnis der Chancen-/Risiken-Abwägung aus Sicht des Angreifers unattraktiver zu machen, sollten weitere Maßnahmen vorgesehen werden, insbesondere zur Integritätssicherung der Firmware. Darüber hinaus sollten – sofern eine Kommunikationsschnittstelle verfügbar ist – Manipulationsversuche mit den übermittelten Zählerständen/Energiekosten gemeldet werden. 14 Ob „Blaster“ tatsächlich die Ursache für den Stromausfall war, ist umstritten. Bei der Diskussion wurde jedoch deutlich, dass auch bei „entkoppelten“ Systemen eine Störung im einen System den Ausfall des anderen
Seite 1 und 2: Müller: Sicherheit im Smart Grid A
Seite 17: Müller: Sicherheit im Smart Grid A

Sicherheit im Smart Grid - DFN-CERT

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?